Se usó la API de Cloud Translation para traducir esta página.

Recopila registros de LTM de BIG-IP de F5

Se admite en los siguientes países:

Google SecOps SIEM

En este documento, se describe cómo puedes recopilar registros del Administrador de tráfico local (LTM) de BIG-IP de F5 con un reenviador de Operaciones de seguridad de Google.

Para obtener más información, consulta Transferencia de datos a Google Security Operations.

Una etiqueta de transferencia identifica el analizador que normaliza los datos de registro sin procesar al formato estructurado del UDM. La información de este documento se aplica al analizador con la etiqueta de transferencia F5_BIGIP_LTM.

Configura el LTM de BIG-IP de F5

Accede a SSH con las credenciales de raíz.
Accede a la shell de administración de tráfico (tmsh) con el siguiente comando:

tmsh
Envía mensajes de registro filtrados a servidores de syslog remotos con el siguiente comando:

modify /sys syslog remote-servers none
Quita la sentencia remote-servers y, luego, agrega una sentencia include de syslog que defina una regla de filtro y el servidor remoto.
Para definir el filtro de syslog requerido que hace referencia al servidor remoto, usa el siguiente comando:

edit /sys syslog all-properties

Reemplaza el comando include none por el siguiente filtro y agrega la dirección IP y el número de puerto.

include "

filter f_remote_loghost {

level(debug..emerg);

};

filter f_ssl_acc {

not match(\"ssl_acc\");

};

filter f_ssl_req {

not match(\"ssl_req\");

};

destination d_remote_loghost {

udp(IP_ADDRESS PORT);

};

log {

source(s_syslog_pipe);

filter(f_remote_loghost);

filter(f_ssl_acc);

filter(f_ssl_req);

destination(d_remote_loghost);

};

"

Reemplaza IP_ADDRESS por la dirección IP del reenviador de Operaciones de seguridad de Google y port por el número de puerto alto.

Para salir del editor de texto, presiona Esc y, luego, ingresa wq!.
Guarda la configuración con el siguiente comando:

save /sys config

Configura el reenviador y el syslog de Google Security Operations para transferir los registros de LTM de BIG-IP de F5

Ve a Configuración de SIEM > Redireccionamientos.
Haz clic en Agregar nuevo remitente.
En el campo Nombre del reenviador, ingresa un nombre único para el reenviador.
Haz clic en Enviar. Se agregará el reenviador y aparecerá la ventana Add collector configuration.
En el campo Nombre del recopilador, escribe un nombre.
Selecciona F5 BIGIP LTM como el Tipo de registro.
Selecciona Syslog como el tipo de recopilador.
Configura los siguientes parámetros de entrada obligatorios:
- Protocolo: Especifica el protocolo.
- Dirección: Especifica la dirección IP del reenviador de Google Security Operations.
- Puerto: Especifica el puerto.
Haz clic en Enviar.

Para obtener más información sobre los reenvío de Google Security Operations, consulta la documentación de reenvío de Google Security Operations. Para obtener información sobre los requisitos de cada tipo de reenviador, consulta Configuración del reenviador por tipo.

Si tienes problemas cuando creas reenvío de correo, comunícate con el equipo de asistencia de Operaciones de seguridad de Google.

Referencia de la asignación de campos

Este analizador normaliza los registros del Administrador de tráfico local (LTM) de BIG-IP de F5 y controla los formatos de par clave-valor y syslog. Extrae campos como direcciones IP, nombres de usuario, acciones y descripciones, los asigna a la UDM y clasifica los eventos en función del contenido de registro y los campos extraídos, incluidas las conexiones de red, los accesos y los cierres de sesión de los usuarios, y los eventos genéricos.

Tabla de asignación de UDM

Campo de registro	Asignación de UDM	Lógica
`Access_Profile`	`event.idm.read_only_udm.additional.fields[].key:"Access_Profile", event.idm.read_only_udm.additional.fields[].value.string_value`	Se asignan directamente desde la clave `Access_Profile` en los pares clave-valor analizados.
`Client_IP`	`event.idm.read_only_udm.principal.ip[], event.idm.read_only_udm.principal.asset.ip[]`	Se asignan directamente desde la clave `Client_IP` en los pares clave-valor analizados. También se usa para propagar la IP del activo principal. Establece `has_principal` como verdadero.
`Country`	`event.idm.read_only_udm.principal.location.country_or_region`	Se asignan directamente desde la clave `Country` en los pares clave-valor analizados.
`Listener`	`event.idm.read_only_udm.additional.fields[].key:"Listener", event.idm.read_only_udm.additional.fields[].value.string_value`	Se asignan directamente desde la clave `Listener` en los pares clave-valor analizados.
`Session_ID`	`event.idm.read_only_udm.network.session_id`	Se asignan directamente desde la clave `Session_ID` en los pares clave-valor analizados.
`State`	`event.idm.read_only_udm.principal.location.state`	Se asignan directamente desde la clave `State` en los pares clave-valor analizados.
`Virtual_IP`	`event.idm.read_only_udm.target.ip[], event.idm.read_only_udm.target.asset.ip[]`	Se asignan directamente desde la clave `Virtual_IP` en los pares clave-valor analizados. También se usa para propagar la IP del activo de destino. Establece `has_target` como verdadero.
`about`	`event.idm.read_only_udm.about`	Se propagan desde varios campos, como `snat`, `vs_name`, `path`, `query`, `node`, `pool_member`, `vs`, `client`, `blade` y `device`, si están presentes en el registro sin procesar y se analizan correctamente.
`action_data`	`event.idm.read_only_udm.target.process.command_line`	Se asignan directamente para los registros de procesos de `scriptd`.
`attack_type`	`event.idm.read_only_udm.security_result.category_details[]`	Se asignan directamente.
`blade`	`event.idm.read_only_udm.about.resource.attribute.labels[].key:"blade", event.idm.read_only_udm.about.resource.attribute.labels[].value`	Se asignan directamente desde la clave `blade` en los pares clave-valor analizados.
`bytes_in`	`event.idm.read_only_udm.network.received_bytes`	Se asignan directamente y se convierten en números enteros sin signo.
`bytes_out`	`event.idm.read_only_udm.network.sent_bytes`	Se asignan directamente y se convierten en números enteros sin signo.
`captcha_result`	`event.idm.read_only_udm.additional.fields[].key:"captcha_result", event.idm.read_only_udm.additional.fields[].value.string_value`	Se asignan directamente.
`client`	`event.idm.read_only_udm.about.resource.attribute.labels[].key:"client", event.idm.read_only_udm.about.resource.attribute.labels[].value`	Se asignan directamente desde la clave `client` en los pares clave-valor analizados.
`client_ip`	`event.idm.read_only_udm.principal.ip[], event.idm.read_only_udm.principal.asset.ip[]`	Se asignan directamente. También se usa para propagar la IP del activo principal. Establece `has_principal` como verdadero.
`client_port`	`event.idm.read_only_udm.principal.port`	Se asignan directamente y se convierten en números enteros.
`collection_time`	`event.timestamp`	La marca de tiempo de la entrada de registro se usa como la marca de tiempo del evento.
`command_line`	`event.idm.read_only_udm.target.process.command_line`	Se asignan directamente a los registros de procesos `CROND` y a algunos registros `logger`.
`data`	`message`	El mensaje de registro sin formato. Se analiza y se usa para propagar varios campos de la UDM.
`dgl_count`	`event.idm.read_only_udm.principal.resource.attribute.labels[].key:"DataGroup_Value", event.idm.read_only_udm.principal.resource.attribute.labels[].value`	Se asignan directamente.
`dgl_value`	`event.idm.read_only_udm.principal.resource.attribute.labels[].key:"DataGroup_List", event.idm.read_only_udm.principal.resource.attribute.labels[].value`	Se asignan directamente.
`description`	`event.idm.read_only_udm.metadata.description`, `event.idm.read_only_udm.security_result.description`	Se asignan directamente para algunos tipos de registros o se usan como parte de la descripción del resultado de seguridad.
`device`	`event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname, event.idm.read_only_udm.about.resource.attribute.labels[].key:"device", event.idm.read_only_udm.about.resource.attribute.labels[].value`	Se asignan directamente. También se usa para propagar el nombre de host del activo principal. Establece `has_principal` como verdadero.
`dest_ip`	`event.idm.read_only_udm.target.ip, event.idm.read_only_udm.target.asset.ip`	Se asignan directamente. También se usa para propagar la IP del activo de destino. Establece `has_principal` como verdadero.
`dest_port`	`event.idm.read_only_udm.target.port`	Se asignan directamente.
`dvc`	`event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname, event.idm.read_only_udm.intermediary.hostname`	Se analiza para extraer el nombre de host o la IP. Se usa para propagar el nombre de host principal o el nombre de host intermedio.
`errdefs_msgno`	`event.idm.read_only_udm.additional.fields[].key:"errdefs_msgno", event.idm.read_only_udm.additional.fields[].value.string_value`	Se asignan directamente desde la clave `errdefs_msgno` en los pares clave-valor analizados.
`error_reason`	`event.idm.read_only_udm.principal.resource.attribute.labels[].key:"error_reason", event.idm.read_only_udm.principal.resource.attribute.labels[].value`	Se asignan directamente.
`false_positive`	`event.idm.read_only_udm.additional.fields[].key:"false_positive", event.idm.read_only_udm.additional.fields[].value.string_value`	Se asignan directamente.
`function_id`	`event.idm.read_only_udm.principal.resource.attribute.labels[].key:"function_id", event.idm.read_only_udm.principal.resource.attribute.labels[].value`	Se asignan directamente.
`geoContinent`	`event.idm.read_only_udm.principal.location.continent`	No se asignan en el ejemplo proporcionado, pero se asignarían al continente si estuviera disponible.
`geoCountry`	`event.idm.read_only_udm.principal.location.country_or_region`	Se asignan directamente.
`geoState`	`event.idm.read_only_udm.principal.location.state`	Se asignan directamente.
`header.Referer`	`event.idm.read_only_udm.network.http.referral_url`	Se asignan directamente.
`header.User-Agent`	`event.idm.read_only_udm.network.http.user_agent, event.idm.read_only_udm.network.http.parsed_user_agent`	Se asignan directamente. También se convirtió en un usuario-agente analizado.
`header.X-Forwarded-For`	`event.idm.read_only_udm.principal.ip[], event.idm.read_only_udm.principal.asset.ip[]`	Se analizan para extraer las IP y combinarlas en la IP principal y la IP del activo principal.
`host`	`event.idm.read_only_udm.target.hostname, event.idm.read_only_udm.target.asset.hostname`	Se asignan directamente. También se usa para propagar el nombre de host del activo de destino. Establece `has_target` como verdadero.
`http_host`	`event.idm.read_only_udm.target.hostname, event.idm.read_only_udm.target.asset.hostname`	Se asignan directamente. También se usa para propagar el nombre de host del activo de destino. Establece `has_target` como verdadero.
`http_method`	`event.idm.read_only_udm.network.http.method`	Se asignan directamente. Establece `event_type` en `NETWORK_HTTP` si está presente.
`ip_client`	`event.idm.read_only_udm.principal.ip[], event.idm.read_only_udm.principal.asset.ip[]`	Se asignan directamente. También se usa para propagar la IP del activo principal. Establece `has_principal` como verdadero.
`kv_msg`	Varios campos	Se analizan como pares clave-valor y se usan para propagar varios campos de la AUA.
`Level`	`event.idm.read_only_udm.security_result.severity`	Se asigna a la gravedad si no está presente el campo `severity`. Se convirtieron en valores de gravedad de la UDM (p.ej., "Info" -> "INFORMATIONAL").
`Listener`	`event.idm.read_only_udm.additional.fields[].key:"Listener", event.idm.read_only_udm.additional.fields[].value.string_value`	Se asignan directamente.
`log_message`	`event.idm.read_only_udm.principal.resource.attribute.labels[].value, event.idm.read_only_udm.security_result.description`	Se analiza más para extraer `request_uri` o `description`.
`log_type`	`event.idm.read_only_udm.metadata.log_type`	Se asigna directamente desde el campo `log_type` del registro sin procesar.
`loglevel`	`event.idm.read_only_udm.security_result.severity`	Se asignan a la gravedad. Se convirtieron en valores de gravedad de la UDM (p.ej., "warning" -> "MEDIUM", "err" -> "HIGH"). También se usa para la lógica de alertas o eventos significativos.
`manage_ip_addr`	`event.idm.read_only_udm.principal.ip[], event.idm.read_only_udm.principal.asset.ip[]`	Se asignan directamente. También se usa para propagar la IP del activo principal. Establece `has_principal` como verdadero.
`method`	`event.idm.read_only_udm.network.http.method`	Se asignan directamente. Establece `event_type` en `NETWORK_HTTP`.
`method_req`	`event.idm.read_only_udm.network.http.method`	Se asignan directamente.
`msg1`	`event.idm.read_only_udm.security_result.description`	Se usa como descripción del resultado de seguridad si no se analiza más.
`node`	`event.idm.read_only_udm.about.resource.attribute.labels[].key:"node", event.idm.read_only_udm.about.resource.attribute.labels[].value`	Se asignan directamente desde la clave `node` en los pares clave-valor analizados.
`partition_name`	`event.idm.read_only_udm.additional.fields[].key:"partition_name", event.idm.read_only_udm.additional.fields[].value.string_value`	Se asignan directamente.
`path`	`event.idm.read_only_udm.target.url, event.idm.read_only_udm.about.resource.attribute.labels[].key:"path", event.idm.read_only_udm.about.resource.attribute.labels[].value`	Se asignan directamente.
`policy_name`	`event.idm.read_only_udm.security_result.detection_fields[].key:"policy_name", event.idm.read_only_udm.security_result.detection_fields[].value`	Se asignan directamente.
`pool_member`	`event.idm.read_only_udm.about.resource.attribute.labels[].key:"pool_member", event.idm.read_only_udm.about.resource.attribute.labels[].value`	Se asignan directamente desde la clave `pool_member` en los pares clave-valor analizados.
`principalHost`	`event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname`	Se asignan directamente. También se usa para propagar el nombre de host del activo principal. Establece `has_principal` como verdadero.
`principalIp`	`event.idm.read_only_udm.principal.ip[], event.idm.read_only_udm.principal.asset.ip[], event.idm.read_only_udm.observer.ip`	Se asignan directamente. También se usa para completar la IP del recurso principal y la IP del observador. Establece `has_principal` como verdadero.
`principalPort`	`event.idm.read_only_udm.principal.port`	Se asignan directamente y se convierten en números enteros.
`process`	`event.idm.read_only_udm.target.application`	Se asignan directamente.
`product_event_type`	`event.idm.read_only_udm.metadata.product_event_type`	Se asignan directamente.
`proto`	`event.idm.read_only_udm.network.ip_protocol`	Se asigna al protocolo IP después de convertir el número de protocolo en el nombre del protocolo mediante una búsqueda.
`query`	`event.idm.read_only_udm.about.resource.attribute.labels[].key:"query", event.idm.read_only_udm.about.resource.attribute.labels[].value`	Se asignan directamente desde la clave `query` en los pares clave-valor analizados.
`query_string`	`event.idm.read_only_udm.additional.fields[].key:"query_string", event.idm.read_only_udm.additional.fields[].value.string_value`	Se asignan directamente.
`reason`	`event.idm.read_only_udm.security_result.description`	Se asignó directamente para los registros de proceso `apmd` con nivel de registro de advertencia o error.
`reason_code`	`event.idm.read_only_udm.principal.resource.attribute.labels[].key:"reason_code", event.idm.read_only_udm.principal.resource.attribute.labels[].value`	Se asignan directamente.
`req_status`	`event.idm.read_only_udm.security_result.detection_fields[].key:"req_status", event.idm.read_only_udm.security_result.detection_fields[].value`	Se asignan directamente.
`request`	`event.idm.read_only_udm.principal.resource.attribute.labels[].key:"request_type", event.idm.read_only_udm.principal.resource.attribute.labels[].value, event.idm.read_only_udm.network.application_protocol`	Se usa para determinar el protocolo de la aplicación (HTTP) y se asigna como una etiqueta.
`request_status`	`event.idm.read_only_udm.additional.fields[].key:"request_status", event.idm.read_only_udm.additional.fields[].value.string_value`	Se asignan directamente.
`request_uri`	`event.idm.read_only_udm.target.url`	Se asignan directamente.
`resp_code`	`event.idm.read_only_udm.network.http.response_code`	Se asignan directamente y se convierten en números enteros.
`response_code`	`event.idm.read_only_udm.network.http.response_code`	Se asignan directamente y se convierten en números enteros.
`rule_name`	`event.idm.read_only_udm.security_result.rule_name`	Se asignan directamente.
`sec_action`	`event.idm.read_only_udm.security_result.action[]`	Se asignan a la acción. "Continuar" se convierte en "PERMITIR". Los demás valores se convierten en "BLOCK".
`security_result`	`event.idm.read_only_udm.security_result`	Se fusionó en el objeto security_result.
`session_id`	`event.idm.read_only_udm.network.session_id`	Se asignan directamente.
`severity`	`event.idm.read_only_udm.security_result.severity`	Se asignan a la gravedad. Se convirtieron en valores de gravedad de la UDM (p.ej., "Error" -> "ERROR", "Informativo" -> "INFORMATIONAL").
`sig_ids`	`event.idm.read_only_udm.additional.fields[].key:"sig_ids", event.idm.read_only_udm.additional.fields[].value.string_value`	Se asignan directamente.
`sig_names`	`event.idm.read_only_udm.additional.fields[].key:"sig_names", event.idm.read_only_udm.additional.fields[].value.string_value`	Se asignan directamente.
`sni_host`	`event.idm.read_only_udm.network.tls.client.server_name`	Se asignan directamente.
`snat`	`event.idm.read_only_udm.about.resource.attribute.labels[].key:"snat", event.idm.read_only_udm.about.resource.attribute.labels[].value`	Se asignan directamente desde la clave `snat` en los pares clave-valor analizados.
`snat_ip`	`event.idm.read_only_udm.principal.nat_ip[]`	Se asignan directamente.
`snat_port`	`event.idm.read_only_udm.principal.nat_port`	Se asignan directamente y se convierten en números enteros.
`src_ip`	`event.idm.read_only_udm.principal.ip[], event.idm.read_only_udm.principal.asset.ip[]`	Se asignan directamente. También se usa para propagar la IP del activo principal.
`src_port`	`event.idm.read_only_udm.principal.port`	Se asignan directamente.
`ssl_cipher`	`event.idm.read_only_udm.network.tls.cipher`	Se asignan directamente.
`ssl_function`	`event.idm.read_only_udm.principal.resource.attribute.labels[].key:"ssl_function", event.idm.read_only_udm.principal.resource.attribute.labels[].value`	Se asignan directamente.
`ssl_version`	`event.idm.read_only_udm.network.tls.version_protocol`	Se asignan directamente.
`staged_sig_ids`	`event.idm.read_only_udm.additional.fields[].key:"staged_sig_ids", event.idm.read_only_udm.additional.fields[].value.string_value`	Se asignan directamente.
`staged_sig_names`	`event.idm.read_only_udm.additional.fields[].key:"staged_sig_names", event.idm.read_only_udm.additional.fields[].value.string_value`	Se asignan directamente.
`staged_sig_set_names`	`event.idm.read_only_udm.additional.fields[].key:"staged_sig_set_names", event.idm.read_only_udm.additional.fields[].value.string_value`	Se asignan directamente.
`staged_threat_campaign_names`	`event.idm.read_only_udm.additional.fields[].key:"staged_threat_campaign_names", event.idm.read_only_udm.additional.fields[].value.string_value`	Se asignan directamente.
`status`	`event.idm.read_only_udm.security_result.summary`	Se asignan directamente para los registros de procesos de `scriptd`.
`summary`	`event.idm.read_only_udm.security_result.summary`	Se asignan directamente para algunos tipos de registros.
`support_id`	`event.idm.read_only_udm.additional.fields[].key:"Support_Id", event.idm.read_only_udm.additional.fields[].value.string_value`	Se asignan directamente.
`systems`	`event.idm.read_only_udm.principal.asset.attribute.labels[].key, event.idm.read_only_udm.principal.asset.attribute.labels[].value`	Se analiza para extraer información del sistema y asignarla como etiquetas al activo principal.
`targetFile`	`event.idm.read_only_udm.target.file.full_path`	Se asignan directamente para los registros de procesos de `scriptd`.
`targetIp`	`event.idm.read_only_udm.target.ip, event.idm.read_only_udm.target.asset.ip`	Se asignan directamente. También se usa para propagar la IP del activo de destino. Establece `has_target` como verdadero.
`targetPort`	`event.idm.read_only_udm.target.port`	Se asignan directamente y se convierten en números enteros.
`threat_campaign_names`	`event.idm.read_only_udm.additional.fields[].key:"threat_campaign_names", event.idm.read_only_udm.additional.fields[].value.string_value`	Se asignan directamente.
`timestamp`	`event.timestamp`	Se asignan directamente después del análisis y la reasignación.
`tls_version`	`event.idm.read_only_udm.network.tls.version`	Se asignan directamente.
`tlsproto`	`event.idm.read_only_udm.network.tls.version_protocol`	Se asignan directamente. Si el valor es HTTP/1.1, se asigna "HTTP".
`unit_host`	`event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname`	Se asignan directamente. También se usa para propagar el nombre de host del activo principal. Establece `has_principal` como verdadero.
`uri`	`event.idm.read_only_udm.target.url`	Se asignan directamente.
`uri_path`	`event.idm.read_only_udm.target.url`	Se asigna directamente y se concatena con `uri_query` si está presente.
`url`	`event.idm.read_only_udm.principal.url`	Se asignan directamente.
`url_string`	`event.idm.read_only_udm.network.http.referral_url`	Se asignan directamente.
`user_agent`	`event.idm.read_only_udm.network.http.user_agent`	Se asignan directamente.
`userId`	`event.idm.read_only_udm.principal.user.userid, event.idm.read_only_udm.target.user.userid`	Se asignan directamente. También se usa para propagar el ID de usuario de destino. Establece `has_principal_user` como verdadero.
`vendor_name`	`event.idm.read_only_udm.metadata.vendor_name`	Está codificado en "F5".
`violations`	`event.idm.read_only_udm.security_result.detection_fields[].key:"violations", event.idm.read_only_udm.security_result.detection_fields[].value`	Se asignan directamente.
`vs`	`event.idm.read_only_udm.about.resource.attribute.labels[].key:"vs", event.idm.read_only_udm.about.resource.attribute.labels[].value`	Se asignan directamente desde la clave `vs` en los pares clave-valor analizados.
`vs_name`	`event.idm.read_only_udm.about.resource.attribute.labels[].key:"vs_name", event.idm.read_only_udm.about.resource.attribute.labels[].value`	Se asignan directamente desde la clave `vs_name` en los pares clave-valor analizados.
N/A	`event.idm.read_only_udm.metadata.event_type`	Se determina según la lógica del analizador en función de la presencia de ciertos campos. La configuración predeterminada es `GENERIC_EVENT`. Puede ser `NETWORK_CONNECTION`, `USER_LOGIN`, `USER_LOGOUT`, `USER_UNCATEGORIZED`, `STATUS_UPDATE` o `NETWORK_HTTP`.
N/A	`event.idm.read_only_udm.metadata.product_name`	Está codificado de forma fija en "BIG-IP Local Traffic Manager (LTM)".
N/A	`event.idm.read_only_udm.metadata.vendor_name`	Está codificado en "F5".
N/A	`event.idm.read_only_udm.metadata.event_timestamp`	Se copió del `event.timestamp` de nivel superior.
N/A	`event.idm.read_only_udm.security_result.severity`	Se determina según la lógica del analizador en función de los campos `severity` o `Level`, si están presentes. La configuración predeterminada es `UNKNOWN_SEVERITY`. Puede ser `INFORMATIONAL`, `LOW`, `MEDIUM`, `HIGH` o `CRITICAL`.
N/A	`event.idm.read_only_udm.security_result.summary`	Establece el valor en "Error de autenticación" para registros `apmd` específicos.
N/A	`event.idm.read_only_udm.extensions.auth.type`	Establece la opción en “VPN” para registros `apmd` y `sshd` específicos. De lo contrario, configúralo como `AUTHTYPE_UNSPECIFIED` para los eventos `USER_LOGIN` y `USER_LOGOUT`.
N/A	`event.idm.read_only_udm.network.ip_protocol`	El valor predeterminado es "TCP" si no está presente `proto`. De lo contrario, se determina según el campo `proto`.
N/A	`event.idm.is_alert`, `event.idm.is_significant`	Se establece en `true` si `loglevel` es "alert", "crit" o "emer".

Cambios

2024-05-06

Se agregó compatibilidad para controlar un nuevo formato de registros de KV.
Se asignó "tlsproto" a "network.tls.version_protocol".
Se asignó "method_req" a "network.http.method".
Se asignó "path" a "target.url".
Se asignó "url" a "principal.url".
Se asignó "client_ip" a "principal.ip" y "principal.asset.ip".
Se asignó "device" a "principal.hostname" y "principal.asset.hostname".
Se asignó "host" a "target.hostname" y "target.asset.hostname".
Se asignó "vip" a "target.ip" y "target.asset.ip".
Se asignó "client_port" a "principal.port".
Se asignó "snat_ip" a "principal.nat_ip".
Se asignó "snat_port" a "principal.nat_port".
Se asignaron "vs_name", "path", "query", "node", "pool_member", "vs", "device", "blade", "client" y "snat" a "about.resource.attribute.labels".

2024-03-23

Se agregó gsub para quitar caracteres no deseados y analizar los registros.
Se asignaron "support_id", "query_string" y "request_status" a "additional.fields".
Se asignó "uri" a "target.url".

2024-02-23

mejora
Se agregó un bloque "kv" para recuperar datos en formato de par clave-valor.
Se agregó compatibilidad con los registros en formato CSV.
Se agregó un patrón Grok para extraer campos de par clave-valor.
Se asignó "dest_ip" a "target_ip".
Se asignó "dest_port" a "targetPort"
Se asignó "src_port" a "principalPort".
Se asignó "dest_port" a "targetPort"
Se asignaron "ip_client" y "manage_ip_addr" a "principal.ip" y "principal.asset.ip".
Se asignaron "target_ip" y "Virtual_IP" a "target.ip" y "target.asset.ip".
Se asignó "severity" a "security_result.severity".
Se asignó "session_id" a "network.session_id".
Se asignó "red" a "network.http.method".
Se asignaron "violations", "policy_name" y "req_status" a "security_result.detection_fields".
Se asignó "protocol" a "network.application_protocol".
Se asignaron "staged_threat_campaign_names","staged_sig_ids","threat_campaign_names","staged_sig_names","captcha_result","sig_set_names","staged_sig_set_names", "sig_ids", "sig_names","resp_code" y "false_positive" a "additional.fields".

2024-01-24

bug-fix
Se cambió la asignación de "uri_pathuri_query" y "header.Referer".
Se cambió la asignación de "uri_pathuri_query" a "target.url" de "network.http.referral_url".
Se cambió la asignación de "header.Referer" a "network.http.referral_url" de "security_result.about.resource.attribute.labels".

2023-12-14

mejora
Se agregó compatibilidad con registros en formato JSON.

2023-08-28

mejora
Se agregó un bloque "kv" para recuperar datos en formato de par clave-valor.
Se asignó "process" a "target.application".
Se asignó "País" a "principal.location.country_or_region".
Se asignó "Estado" a "principal.location.state".
Se asignó "Client_IP" a "principal.ip".
Se asignó "Virtual_IP" a "target.ip".
Se asignó "Session_ID" a "network.session_id".
Se asignaron "errdefs_msgno", "partition_name", "Listener" y "Access_Profile" a "additional.fields".

2023-07-18

Registros analizados en los que “process” es “apmd” y “loglevel” es “notice”.

18-05-2023

Mejora: Se agregaron patrones de Grok para analizar los registros que contienen "tmm".
Se analizaron los registros que contienen "anacron", "run-parts" y "syslog-ng".

2023-05-09

bug-fix
Es el nombre de host que se asigna a intermediary.hostname asignado a principal.hostname para los registros de Syslog.

2023-03-14

mejora
Se asignó "intermediary.hostname" para event_type "USER_LOGIN" y "NETWORK_CONNECTION".
Los registros que se analizan como "GENERIC_EVENT" si "principal.user.userid" está presente se asignan a "USER_UNCATEGORIZED".
Los registros que se analizan como "GENERIC_EVENT" si "principal.ip" está presente se asignan a "STATUS_UPDATE".

2023-02-23

mejora
Se actualizó el patrón de Grok para los tipos de procesos "httpd" y "tmm".

2023-02-06

mejora
Se actualizó el patrón de Grok para el tipo de proceso "tmm".
Se quitó el código redundante "target.hostname" y se hizo genérico o global.
Se cambió la asignación de "target.hostname" a "intermediary.hostname".

2023-02-02

mejora
Se actualizó el patrón de Grok para el tipo de proceso "tmm".
Se cambió la asignación de "target.hostname" a "intermediary.hostname".
Se modificó metadata.event_type de "GENERIC_EVENT" cuando principal.ip está presente a "STATUS_UPDATE".

2022-06-21

bug-fix
Se actualizó el patrón de Grok para el tipo de proceso "tmm".

2022-05-02

bug-fix
Se quitaron las asignaciones duplicadas para "event.idm.read_only_udm.security_result".
Se analizaron los registros que fallaron durante las pruebas de la API de Validation.